在项目中我们会遇到一些应用场景,在访问某个URL后重定向到上一个页面。比如我们在访问一个博客页面时,点击评论链接就直接重定向到登录页面,当用户登录后合理的行为是跳转到评论页面而不是主页面。如下示例:
def func_a():
return "这是a页面
do_something".format(url_for('do_something'))
@app.route('/b')
def func_b():
return "这是b页面
do_something".format(url_for('do_something'))
@app.route('/do-something')
def do_something():
print('do things.....')
return redirect(url_for('test'))
这里我们访问完这个视图后直接调到固定的test页面中,但是我们希望重定向到原来的页面:
1.获取上个页面的url
(1)HTTP.referrer
是一个用来记录请求发源地址的,即访问来源。
所以do_something可以返回:
return redirect(request.referrer)
但是referrer字段在很多情况下是空值,所以为了保险返回固定页面:
return redirect(request.referrer or url_for('test'))
(2)查询参数
在URL中手动加入包含当前页面url的查询参数,这个参数一般命名为next。
@app.route('/a')
def func_a():
return "这是a页面
do_something".format(url_for('do_something', next=request.full_path))
@app.route('/b')
def func_b():
return "这是b页面
do_something".format(url_for('do_something', next=request.full_path))
这里的request.full_path获取的是当前页面的完整路径,在do_something视图中获取next值,重定向到指定路径:
return redirect(request.args.get('next'))
为避免next为空,可以如下:
return redirect(request.args.get('next'),url_for('test'))
为了更全面的考虑,可以将两者结合,将两者封装到函数中,如下:
def redirect_back(default='test', **kwargs):
for target in request.args.get('next'), request.referrer:
if target:
return redirect(target)
return redirect(url_for(default, **kwargs))
此方法同时兼顾了多种情况。
相应的do_something视图中的返回改为:
@app.route('/do-something')
def do_something():
print('do things.....')
return redirect_back()
2.对URL进行安全验证
在重定向的过程中url的安全问题值得考虑,如next的值为一个跳向钓鱼网的链接,那后果不堪设想。
为了确保URL安全,就要对next的值进行验证:
def is_safe_url(url):
ref_url = urlparse(request.host_url)
test_url = urlparse(urljoin(request.host_url, url))
return test_url.scheme in ('http', 'https') and ref_url.netloc == test_url.netloc
此方法将next的url作为参数,并通过request.host_url获取程序内的主机URL,然后使用urljoin()函数将url转成绝对url。接着用urlparse()函数解析两个url,最后对目标url的url模式和主机地址进行验证,确保只有程序内的url才能被返回。
通过此方法验证redirect_back()中的next值和referrer:
def redirect_back(default='test', **kwargs):
for target in request.args.get('next'), request.referrer:
if not target:
continue
print(is_safe_url(target))
if is_safe_url(target):
return redirect(target)
return redirect(url_for(default, **kwargs))
完成跳转的上个页面。
参考资料:《Flask Web 开发实战》